(Québec) Le ministre de la Famille, Mathieu Lacombe, demande un audit de sécurité informatique auprès d’une firme indépendante pour s’assurer de la fiabilité de la Place 0-5 qui a fait l’objet d’une fuite massive de données personnelles dont le but était « politique ». Il se dit « préoccupé » par des failles apparentes.

Tommy Chouinard
Tommy Chouinard La Presse

La Presse a révélé mardi que les renseignements personnels du ministre Lacombe et de milliers de parents et d’enfants inscrits au guichet unique pour obtenir une place en service de garde ont fait l’objet d’une fuite. La Sûreté du Québec (SQ) et la Gendarmerie royale du Canada (GRC) mènent une enquête criminelle sur ce vol de données concernant les dossiers de 5000 familles.

La Place 0-5 est gérée par la Coopérative Enfance Famille, en vertu d’une entente avec le ministère de la Famille. Le fournisseur technologique de la coopérative est la société InMedia.

La brèche de sécurité exploitée par le pirate informatique est en train d’être colmatée, en collaboration avec le Centre gouvernemental de cyberdéfense. « Les premiers constats qui ressortent de ce travail, déjà, sont préoccupants », et il faut pousser l’exercice plus loin, a affirmé le ministre Lacombe en conférence de presse mercredi.

« Je suis préoccupé notamment par la question de savoir qui a accès aux données qui sont gérées par la Coopérative Enfance Famille. Je suis préoccupé de savoir quelles entreprises ont accès à ces données, parfois par le biais d’ententes de service qui sont passées avec les services de garde éducatifs pour le recrutement des enfants. Je suis préoccupé par le type de données auxquelles ces gens et ces entreprises ont accès. Est-ce seulement les données de base absolument nécessaires d’être consultées ou ce sont des données plus larges ? Je suis extrêmement préoccupé par l’ensemble des protocoles de sécurité qui sont actuellement en place à la Coopérative Enfance Famille pour assurer la sécurité des données qui leur sont confiées. »

Il a annoncé qu’une firme indépendante mènera un audit de sécurité. Cette firme a reçu le mandat de faire un diagnostic complet et d’apporter les correctifs nécessaires pour protéger les données personnelles des parents et de leurs enfants, a-t-il expliqué.

Il y a de toute évidence des lacunes en matière de sécurité avec la plateforme de la Place 0-5, signalait à La Presse mardi Luc Lefebvre, président de Crypto. Québec, un organisme à but non lucratif qui fait la promotion des meilleures pratiques en matière de protection des données. Il relevait par exemple qu’un panneau d’administration est offert sur le web. « Quand ça existe, il faut que ce soit sécurisé. Et dans ce cas-ci, ça ne l’était pas », expliquait-il, précisant qu’il est ainsi possible de multiplier les requêtes pour arriver à se connecter à la plateforme.

La directrice générale de la Coopérative Enfance Famille, Marie-Claude Sévigny, est « très favorable » à cet audit externe, car la « priorité est la sécurité des familles et de leurs données ». Mardi, elle indiquait déjà qu’« un audit complet sera effectué sur le site avant sa réouverture ».

Le guichet de la Place 0-5 est fermé pour une durée indéterminée. « La plateforme sera à nouveau accessible au public seulement lorsque le service sera déclaré sécuritaire à la suite des analyses complètes », a indiqué la Coopérative. Cette situation complique la tâche des services de garde qui ont besoin de la liste d’attente pour combler leurs places. Les parents se retrouvent quant à eux dans le brouillard.

La Coopérative communiquera mercredi avec les 86 000 parents qui ont un dossier d’enfant en attente sur la Place 0-5, « dossiers ayant potentiellement été visualisés par le pirate informatique ». Elle enverra également, d’ici la fin de la semaine, une lettre recommandée aux parents des 5000 enfants dont les données ont été volées.

Mardi, le premier ministre François Legault a dit envisager de rapatrier le guichet unique dans le giron de l’État, au sein du ministère de la Famille. Cet enjeu est au menu des consultations du ministre Lacombe en vue de réformer les services de garde. Mathieu Lacombe a déclaré qu’il souhaite un guichet efficace et sécuritaire qui répond aux besoins des parents. « Si ça veut dire de reprendre le contrôle du guichet unique, on le fera », a-t-il affirmé.

La fuite de données survenue samedi soir, « c’est une évidence que c’est inacceptable » et que « c’est une situation intolérable », a affirmé Mathieu Lacombe.

Son propre dossier – de même que celui de son homonyme – a été consulté et supprimé par le pirate. « Pour l’instant, je n’ai pas de conséquences visibles de ça » et « je ne me suis pas senti menacé ». « Mais c’est sûr que ce n’est jamais reposant de savoir que quelqu’un qui nous a visé personnellement connaît maintenant le nom du CPE que fréquente mon fils, par exemple. Ce n’est clairement pas une situation qui est plaisante », a-t-il affirmé.

Parce qu’il était « personnellement visé » par le pirate, il considère qu’il y avait « un objectif politique derrière » le vol de données. « Je ne suis pas en train de dire que c’est l’opposition ou que c’est un opposant politique », a-t-il précisé.

Il soupçonne que l’intention était de semer la « confusion » autour du nombre d’enfants en attente d’une place. Un document subtilisé montre qu’ils sont près de 87 000, alors que le ministre martèle qu’ils sont 51 000. M. Lacombe défend la fiabilité de son décompte – le ministère retire le nom de tout enfant qui occupe déjà une place dans un service de garde mais qui dont le parent voudrait plutôt une dans un CPE, par exemple.